HELP FILE

LastPass-Bereitstellungs-API verwenden

LastPass unterstützt eine öffentliche API, die von LastPass-Enterprise-Kunden verwendet werden kann, um Benutzer anzulegen, zu löschen und Gruppen zu verwalten. Diese automatisierte Bereitstellungs-API ist sehr leistungsfähig, muss jedoch von Ihnen integriert werden, um doppelte Aktionen zu vermeiden. Da LastPass verschiedene automatisierte Bereitstellungsoptionen bietet, finden Sie hier weitere Informationen dazu, welche Option für Sie die richtige ist.

Hinweis: Die Bereitstellungs-API von LastPass unterstützt die Gruppenverwaltung für vorkonfigurierte SSO-Apps (Cloud-Apps) in der Administrationskonsole von SSO und MFA nicht.

Benutzer hinzufügen

Der erste Schritt ist das Hinzufügen eines Benutzers. Sie müssen zunächst die gewünschte Anzahl von PBKDF2-Iterationen festlegen. LastPass verwendet derzeit standardmäßig 100.100 Runden, um Sicherheit und Leistung miteinander zu vereinbaren.

Nachdem Sie den Benutzernamen, das Passwort und die geplanten Iterationen festgelegt haben, können Sie den Verschlüsselungsschlüssel des Benutzers berechnen. Er wird mithilfe von PBKDF2-HMAC-SHA256 unter Verwendung des Benutzernamens als Salt erzeugt. Hier ein auf der Funktion OpenSSL PKCS5_PBKDF2_HMAC() basierendes Beispiel (beachten Sie, dass der Benutzername und das Passwort UTF-8-codiert sein müssen):

const unsigned char *username = “user@lastpass.com”;

const char *password = “T5O89kkUMGYT”;

int iterations = 5000;

unsigned char key[32];

PKCS5_PBKDF2_HMAC(password, strlen(password), username, strlen(username), iterations, EVP_sha256(), 32, key);

Wenn dieser Funktionsaufruf erfolgreich ausgeführt wird, findet sich der Verschlüsselungsschlüssel des Benutzers in der Variablen „key“.

Nachdem Sie den Schlüssel besitzen, können Sie damit den Passwort-Hash des Benutzers erzeugen. Das ist der Hash, der als Parameter „passwordhash“ an den adduser-API-Aufruf übergeben wird. Hier ein Beispiel, mit dem das obige Beispiel weitergeführt wird:

unsigned char hash[32];

PKCS5_PBKDF2_HMAC(key, 32, password, strlen(password), 1, EVP_sha256(), 32, hash);

Wenn dieser Funktionsaufruf erfolgreich ausgeführt wird, ist der Passwort-Hash des Benutzers in der Variablen „hash“ enthalten. Beachten Sie, dass Sie den Hash HEX-codieren müssen, bevor Sie ihn an LastPass übermitteln. Der Passwort-Hash muss immer aus 64 Hexadezimalzeichen bestehen.

RSA-Schlüssel generieren

Um den Benutzer sofort zu freigegebenen Ordnern hinzuzufügen, müssen Sie auch „rsapublickey“ und „rsaprivatekeyenc“ an den adduser-Befehl übermitteln.

  1. Erzeugen Sie ein öffentliches/privates RSA-Schlüsselpaar. Dieser Schlüssel muss eine Länge von 2048 Bit haben.
  2. Codieren Sie den öffentlichen Schlüssel im ASN.1-DER-Format und HEX-codieren Sie ihn anschließend (dies ist der Wert für „rsapublickey“, der an LastPass übermittelt wird). Hier sehen Sie ein Beispiel für einen gültigen rsapublickey.
  3. Codieren Sie den privaten Schlüssel im ASN.1-DER-Format und HEX-codieren Sie ihn anschließend (dies ist der Wert für „rsaprivatekey“, den Sie mit dem Benutzerschlüssel verschlüsseln müssen, bevor Sie ihn an LastPass übermitteln). Hier sehen Sie ein Beispiel für einen gültigen rsaprivatekey.
  4. Verschlüsseln Sie rsaprivatekey mit dem Benutzerschlüssel:
    1. Stellen Sie „LastPassPrivateKey<“ voran und fügen Sie „>LastPassPrivateKey“ an „rsaprivatekey“ an.
    2. Verschlüsseln Sie ihn mit AES-CBC, und zwar mit den ersten 16 Zeichen des Benutzerschlüssels als Initial Value (IV). Füllen Sie ihn über PKCS#7 auf. HEX-codieren Sie das Ergebnis, um den Parameter „rsaprivatekeyenc“ zu erzeugen (der dann an LastPass übermittelt werden kann).
  5. Sobald Sie über die Parameter „passwordhash“, „rsapublickey“ und „rsaprivatekeyenc“ verfügen, sollten Sie in der Lage sein, einen adduser-API-Aufruf durchzuführen.

Benutzer zu einem freigegebenen Ordner hinzufügen

Nachdem Sie einen Benutzer mit gültigen RSA-Schlüsseln erstellt haben, können Sie den addusertosharedfolder-API-Aufruf verwenden, um ihn zu einem freigegebenen Ordner hinzuzufügen.

  1. Ermitteln Sie die ID und den Verschlüsselungsschlüssel des freigegebenen Ordners, zu dem Sie den Benutzer hinzufügen möchten. Sie können diese Werte für die Ihnen zugewiesenen freigegebenen Ordner anzeigen.
  2. Nach dem Auffüllen mit OAEP müssen Sie als Nächstes den Verschlüsselungsschlüssel des freigegebenen Ordners mit dem öffentlichen RSA-Schlüssel des Benutzers verschlüsseln. HEX-codieren Sie das Ergebnis, das 512 Hexadezimal-Bytes ergeben sollte, da Sie einen 2048-Bit-RSA-Schlüssel verwenden. Das Ergebnis wird dann als „sharekey“ an LastPass übermittelt.
  3. Anschließend müssen Sie den Namen des freigegebenen Ordners mit dem Schlüssel des freigegebenen Ordners verschlüsseln. Achten Sie darauf, den vollständigen Namen, einschließlich des Präfixes „Shared-“, zu verschlüsseln. Wenn Ihr freigegebener Ordner beispielsweise „LP“ heißt, müssen Sie die Zeichenfolge „Shared-LP“ verschlüsseln. Verwenden Sie für diesen Schritt AES-ECB, füllen Sie über PKCS#7 auf und codieren Sie das Ergebnis mit base64. Das Ergebnis wird als „sharename“ an LastPass übermittelt.
  4. Sobald Sie über die Parameter „shareid“, „sharekey“ und „sharename“ verfügen, sollten Sie in der Lage sein, einen addusertosharedfolder-API-Aufruf auszuführen.

Verwandte Themen

Integration von Verzeichnisdiensten für automatisierte Benutzerbereitstellung verwenden

Freigegebene Ordner in LastPass Enterprise anzeigen und verwalten (Administratoren)

Erweiterte Optionen für LastPass-Administratoren